我遇到了这个插件,它开始敲响一些警钟。该插件将有助于将网站提交到网络目录。前 100 个提交是免费的,然后您需要通过 pay-pal 支付 20 美元(没有其他选项)才能获得更多提交。
这让我毛骨悚然!首先安装这个插件,然后通过支付宝付款...
有没有办法测试插件行为或查看它与浏览器内容和/或输入设备(键盘)的通信。我考虑过使用嗅探器,然后去贝宝假装付款(密码错误),看看是否有任何数据流向贝宝以外的任何地方,但是插件可能足够聪明等待稍后它“合法地”需要与 base 通信(检索其他目录)。
关于替代品的任何想法?
背景。首先,我想与您分享一些有关浏览器插件的背景知识。有两种加载项:扩展和插件。
扩展是一个基于 Javascript 的附加组件,它可以部分访问您的浏览器,但(至少在 Chrome 中)受浏览器沙箱的限制。
插件包含本机可执行代码,可以更密切地访问您的浏览器,并且不受任何沙箱的限制。例如,Flash 播放器是一个插件。
插件要危险得多,因为它们可以完全访问您的文件系统,完全访问您机器上运行的程序,完全访问您的浏览器(以及您访问的所有网站、密码等);他们可以做任何你可以做的事情。扩展程序的功能受到更多限制(至少在 Chrome 中),因此(在 Chrome 中)更安全。
我怀疑你问的是扩展,而不是插件。例如,Chrome Gallery 中的扩展程序就是扩展程序。
如何判断它是否安全。 一般来说,没有很好的方法来判断扩展是否安全。您可以查看其他用户的评论(尽管这不是完全决定性的)。您可以查看扩展程序是否已经存在了一段时间、是否拥有大量用户和/或来自受人尊敬的品牌/公司/开发商(尽管这只是一个指标,当然不能保证安全)。
而且,也许最重要的是,在 Chrome 中,您可以查看扩展程序请求的权限。这将告诉您扩展程序将获得哪些信息以及它可以做什么,如果它是恶意的。恶意扩展会受到其权限的限制,因此权限越少,扩展的风险就越低。
进一步阅读。有关更多信息,我建议您阅读以下内容:
这个问题没有通用的解决方案。这是同一个问题:
我怎么知道[操作系统/软件/硬件]中没有后门?
您可以对其进行监控、对其进行逆向工程、将其沙箱化,但它仍然可能在做您没有想到的事情。或者您的工具组合没有使用的东西。
您最好的选择是将其留给专业人士并安装希望能够将其拾取的防病毒软件。
但是,当然,这依赖于这个插件被广泛使用以引起反病毒公司的注意。
如果您不想花时间执行 Andrew 解释的步骤(逆向工程)并且真正关心安全性 - 只需假设所有插件都不安全,除非它们拥有稳固、活跃的用户群和知名作者。
您描述的插件对我来说听起来并不安全:) 如果您绝对必须使用它 - 在 vmware 中运行以最大程度地减少可能的损失并观看 paypal acc。
PS:在这种情况下,我不相信杀毒软件能给你很好的保护